ไม่มีข้อผิดพลาดเรื่องเงินรางวัล: microsoft ให้รางวัลเทคนิคการหาประโยชน์แบบแปลกใหม่

สมมติว่าคุณเป็นผู้เผยแพร่ซอฟต์แวร์ที่มีชื่อเสียงระดับโลก ช่องโหว่ด้านความปลอดภัยในหนึ่งในผลิตภัณฑ์ของคุณที่ช่วยให้คนร้ายขโมยข้อมูลส่วนตัวหรือควบคุมพีซีที่เป็นเหยื่อจากระยะไกล หากมีคนค้นพบหลุมแบบนี้คุณต้องการบอกพวกเขามากกว่าการขายข้อมูลในตลาดมืดของอาชญากรรมไซเบอร์ใช่ไหม? โปรแกรม "Bug bounty" มีจุดมุ่งหมายเพื่อสนับสนุนการแบ่งปันประเภทนี้โดยให้รางวัลแก่ผู้ที่ค้นพบช่องโหว่ด้านความปลอดภัยด้วยเงินสดชื่อเสียงหรือทั้งสองอย่าง

เงินรางวัลมากมาย

โปรแกรมรับรางวัลบั๊กของ Yahoo แจ้งข่าวเมื่อต้นสัปดาห์นี้ นักวิจัยชาวสวิสกลุ่มหนึ่งทำการตรวจสอบโปรแกรมดังกล่าวโดยเริ่มจากการตรวจพบข้อผิดพลาดการเขียนสคริปต์ข้ามเว็บไซต์ในเว็บไซต์ Yahoo ซึ่งเป็นช่องโหว่ด้านความปลอดภัยที่อาจทำให้ผู้โจมตีสามารถเข้าใช้บัญชีอีเมล Yahoo ของเหยื่อ (การค้นหาข้อบกพร่องเหล่านั้นใช้เวลาประมาณหนึ่งวัน - น่ากลัว!) หลังจากตรวจสอบรายงานแล้ว Yahoo เสนอราคา $ 12.50 สำหรับแต่ละข้อผิดพลาดสามารถแลกเป็น swag ได้ที่ร้านค้าของ บริษัท

รางวัลนั้นดูเหมือนจะไม่เป็นที่พอใจสำหรับหลาย ๆ คน แบ็กสแลชจากรายงานนี้มีความสำคัญพอที่ Yahoo จะประกาศการเปลี่ยนแปลงซึ่งเป็นสิ่งที่พวกเขากำลังทำอยู่ โปรแกรมค่าตอบแทนบั๊กแบบใหม่จะให้รางวัลนักวิจัยที่รายงานข้อผิดพลาดที่ตรวจสอบแล้วด้วยเงินสดไม่ได้คุยโวจำนวนเงินจาก $ 150 ถึง $ 15, 000 ด้วยจำนวนเงินที่แน่นอนที่กำหนดโดยสูตรที่ชัดเจนและกำหนดไว้ล่วงหน้า โปรแกรมใหม่ควรจะใช้งานได้ภายในสิ้นเดือนนี้ แต่จะมีผลย้อนหลังถึง 1 กรกฎาคม

คิดว่าคุณพบช่องโหว่ที่อาจมีค่าอะไรไหม เว็บไซต์ Bugcrowd จะแสดงรายการโปรแกรมรางวัลบั๊กปัจจุบันทั้งหมดแยกพวกเขาออกเป็นรายการที่ให้รางวัลชื่อเสียงชื่อเสียงและพวงหรีดเพียงชื่อเสียงหรือไม่มีรางวัล คลิกที่ลิงค์สำหรับผลิตภัณฑ์หรือบริการที่กำหนดเพื่อไปที่หน้าการรายงาน

ตัวอย่างเช่น Facebook เสนอค่าหัวขั้นต่ำ $ 500 โดยไม่มีค่าสูงสุดที่กำหนดไว้ล่วงหน้า เมื่อเดือนสิงหาคม Facebook ได้จ่ายเงินมากกว่าหนึ่งล้านดอลลาร์เพื่อเป็นเงินรางวัล ..

การจ่ายเงินจาก Google สำหรับข้อบกพร่องที่ตรวจสอบแล้วจะเป็นไปตามตารางค่าที่กำหนดไว้อย่างดี ช่วงเหล่านี้มีตั้งแต่ $ 100 สำหรับข้อบกพร่องทางเว็บทั่วไปในไซต์ Google ที่มีลำดับความสำคัญต่ำจนถึง $ 20, 000 สำหรับช่องโหว่การเรียกใช้รหัสจากระยะไกลในบริการที่มีความอ่อนไหวสูง ในการพยักหน้าให้ "leet-speak" บางประเภทมาพร้อมกับรางวัล $ 1, 337

Microsoft นั้นแตกต่างกัน

Microsoft เสนอนักวิจัย $ 100, 000 หรือมากกว่านั้นสำหรับงานที่เพิ่มความปลอดภัย แต่ปรากฎว่าโปรแกรม Microsoft นั้นไม่ได้เป็นปัญหาที่แม่นยำ Katie Moussouris หัวหน้านักยุทธศาสตร์ด้านความปลอดภัยอาวุโสของ Microsoft Trustworthy Computing อธิบายความแตกต่าง

"การบรรเทาการหลีกเลี่ยงบายพาสมูลค่า 100, 000 ดอลลาร์ของ Microsoft กำหนดให้ผู้เข้าร่วมส่งเทคนิคการหาประโยชน์จากนวนิยายกับแพลตฟอร์ม Windows ล่าสุดของเรา" Moussouris กล่าว "เพื่อให้เราสามารถปรับปรุงการป้องกันทั่วทั้งแพลตฟอร์มของเราเทคนิคการหาประโยชน์ใหม่นั้นหายากกว่า พวกเขาจะช่วยเราปกป้องลูกค้าจากการโจมตีทั้งชั้นเรียนเพื่อปรับปรุงการรักษาความปลอดภัยด้วยการก้าวกระโดดแทนที่จะจัดการกับช่องโหว่ทีละช่อง " เธอสรุปว่า "เราสนับสนุนให้นักวิจัยอ่านแนวทางของโปรแกรมรางวัลของเราที่

นักวิจัยที่ไม่เพียง แต่รายงานเทคนิคการเอารัดเอาเปรียบใหม่ แต่ยังให้แนวคิดในการป้องกันอาจมีสิทธิ์ได้รับโบนัส BlueHat อีก $ 50, 000 และโปรดจำไว้ว่าในปี 2012 Microsoft จ่ายเงินให้แก่ผู้ชนะการประกวดรางวัล BlueHat Prize มากกว่าหนึ่งในสี่ของล้านคน

มันต้องใช้ประสบการณ์และความเป็นอัจฉริยะในการรับรางวัลของ Microsoft การรักษาความปลอดภัยมักจะเป็นเกมแมวและเมาส์ขณะที่อาชญากรออกแบบการโจมตีใหม่และผู้ปกป้องตอบโต้ด้วยการนับการโจมตีใหม่ มาพร้อมกับเทคนิคการหาประโยชน์ใหม่ (และการป้องกันต่อพวกเขา) ก่อนที่คนร้ายจะเข้ามาเป็นผู้นำ ในฐานะผู้ใช้ Windows ฉันขอแสดงความนับถือผู้รับ ขอบคุณเพื่อน!